Microsoft с предупреждение за безфайлов троянски кон на име Astaroth
Microsoft предизвестява обществеността за безфайлов злотворен програмен продукт с име Astaroth. Той може да се конфигурира на компютъра на жертвата без осъществяване на файл със самия вирус.
За първи път е засечен през 2018 година. През февруари тази година е употребен в акции против бразилски и европейски консуматори. Изследователският екип на Microsoft Defender го засича през май и юни.
Astaroth разполага с key logger, пресича поръчки на операционната система и следи клипборда, с цел да краде сензитивна информация.
Според Microsoft, хората зад троянския кон употребяват по този начин наречените „ living off the land ” техники, с цел да популяризират зловредния код. По този метод той е доста сложен за засичане от антивирусни стратегии и различен програмен продукт за сигурност.
Екипът на компанията се натъква на Astaroth откакто преглежда подозрителен скок в използването на инструмента Windows Management Instrumentation Command-line (WMIC)
След подробен разбор излиза наяве, че хакерите изпращат имейли с линк до.LNK shortcut файл. При осъществяването на файла се започва законният WMIC инструмент, както и няколко други принадлежности на Windows. Те стартират да теглят още приложения в систематичната памет. Програмите обменят информация между тях, без да я резервират на твърдия диск. Чак тук идва момента, в който Astaroth се изтегля и пуска на системата, още веднъж в паметта. Троянският кон резервира информация за самоличността на потребителя от редица приложения и я качва на далечен команден сървър.
Ето скица на целия развой:
Тъй като няма файл, който да се резервира на хард диска, по време на инфекцията, обичайният антивирусен програмен продукт мъчно може да засече какво се случва.
„ При тази техника се употребяват законни принадлежности, които към този момент са налични на компютъра. Така заразяването се маскира като естествена активност. Хакерът по-късно може да употребява откраднатата информация, с цел да извърши финансови измами или да продаде информацията на други нарушители. Посредством странично придвижване по мрежата (Network Lateral Movement) атакуващият търси достъп до други компютри. “, споделя Andrea Lelli от екипа на Microsoft, който открива казуса.
Може да прочетете повече за Network Lateral Movement на тази страница.
Lelli отбелязва, че безфайловият механизъм на работа не значи, че този malware е незабележим или не може да бъде засечен по никакъв метод.
„ Някои от безфайловите техники могат да употребяват толкоз необикновен и аномален метод, че да привлекат вниманието към себе си, по този начин както една торба с пари би го направила. “, изяснява той.
Със сигурност причинителите на киберпрестъпления стават все по-изобретателни в направата на инструментите, с които правят своите офанзиви. Постоянно виждаме потреблението на нови подходи.
Смятате ли, че антивирусните стратегии и специалистите по сигурността могат да завоюват войната в дълготраен проект?
За първи път е засечен през 2018 година. През февруари тази година е употребен в акции против бразилски и европейски консуматори. Изследователският екип на Microsoft Defender го засича през май и юни.
Astaroth разполага с key logger, пресича поръчки на операционната система и следи клипборда, с цел да краде сензитивна информация.
Според Microsoft, хората зад троянския кон употребяват по този начин наречените „ living off the land ” техники, с цел да популяризират зловредния код. По този метод той е доста сложен за засичане от антивирусни стратегии и различен програмен продукт за сигурност.
Екипът на компанията се натъква на Astaroth откакто преглежда подозрителен скок в използването на инструмента Windows Management Instrumentation Command-line (WMIC)
След подробен разбор излиза наяве, че хакерите изпращат имейли с линк до.LNK shortcut файл. При осъществяването на файла се започва законният WMIC инструмент, както и няколко други принадлежности на Windows. Те стартират да теглят още приложения в систематичната памет. Програмите обменят информация между тях, без да я резервират на твърдия диск. Чак тук идва момента, в който Astaroth се изтегля и пуска на системата, още веднъж в паметта. Троянският кон резервира информация за самоличността на потребителя от редица приложения и я качва на далечен команден сървър.
Ето скица на целия развой:
Тъй като няма файл, който да се резервира на хард диска, по време на инфекцията, обичайният антивирусен програмен продукт мъчно може да засече какво се случва.
„ При тази техника се употребяват законни принадлежности, които към този момент са налични на компютъра. Така заразяването се маскира като естествена активност. Хакерът по-късно може да употребява откраднатата информация, с цел да извърши финансови измами или да продаде информацията на други нарушители. Посредством странично придвижване по мрежата (Network Lateral Movement) атакуващият търси достъп до други компютри. “, споделя Andrea Lelli от екипа на Microsoft, който открива казуса.
Може да прочетете повече за Network Lateral Movement на тази страница.
Lelli отбелязва, че безфайловият механизъм на работа не значи, че този malware е незабележим или не може да бъде засечен по никакъв метод.
„ Някои от безфайловите техники могат да употребяват толкоз необикновен и аномален метод, че да привлекат вниманието към себе си, по този начин както една торба с пари би го направила. “, изяснява той.
Със сигурност причинителите на киберпрестъпления стават все по-изобретателни в направата на инструментите, с които правят своите офанзиви. Постоянно виждаме потреблението на нови подходи.
Смятате ли, че антивирусните стратегии и специалистите по сигурността могат да завоюват войната в дълготраен проект?
Източник: kaldata.com
КОМЕНТАРИ